Risques et Analyse de Risques

Axel Legay, Inria Rennes

Objectif du cours

• Comprendre la notion de risque (et origines)

• Concepts de gestion du risque• Les bonnes pratiques• Les normes de sécurités• Le cours s’inspire des sources suivantes

–Le cours de David Delahaye–La gestion des risques pour les systèmes

d’information (http://www.nmayer.eu/publis/NMA-JPH_MISC24.pdf)

Historique

Historique

• Apparition fin des années 50, USA • Au départ dans le domaine financier:

–gestion des assurances (zones de profit)–Ensuite extensions: Marketing, SSI

• Exemples de risque financier SSI:–Décision d’investir (achat de matériel, …)–Embauche de personne

• Le cours s’intéresse aux risques de sécurité

Les risques de la SdF

D’où peuvent venir les risques?

• Intérieur du Système

• Environnement

• Interactions hommes/machines

Exemples

• Utilisateur malveillant qui veut détourner des données

• Hardware non testé• Environnement non documenté• Donner un exemple concret de risque.

D’autres types de risques

• Exemple:

Les risques de management, qui interviennent pendant le déroulement du projet, avant la mise en route du système et qui sont les risques de ne pas atteindre les performances attendues, de ne pas tenir les délais, ni les coûts

Concepts de gestion du risque

Pourquoi?

Il y a trois finalités:

1.Améliorer la sécurisation des SI2.Justifier le budget alloué à la sécurité3.Prouver la crédibilité du système

Trois blocs distincts

1.L’organisation cible–Assets (business ou système), ou biens (essentiels ou structurels)

–Besoins de sécurité (attributs)2.Les risques pesant sur les assets

–Vulnérabilités–Scénarios de menace qui les exploitent–Impact (sévérité du risque)

3.Mesures prises pour traiter le risque

Les relations risques/assets/securité

L’équation du risque

RISQUE = MENACE * VULNERABILITE*IMPACT

Processus de gestion du risque

Politique de traitement du risque

Principes• But: protéger les assets• Constitution: exigences de sécurité• Mise en place de contrôles:

–Sur la menace ou la vulnérabilité pour limiter la cause

–Sur l’impact afin de limiter la conséquence

Gestion du risque

Processus de gestion du risque

Étape 1: identification du contexte et des assets• Connaître l’organisme et l’environnement

• Déterminer les limites du système• Identifier les « assets »:

–Business, qui constituent la valeur (infrastructure,…)

–Système, sur lesquels on identifiera et corrigera les risques (technique et organisation)

Exemple

Un site de e-commerce dispose d’une base de données clients, présente sur un serveur de son parc informatique et contenant les informations bancaires de ces derniers.

Processus de gestion du risque

Étape 2: déterminer les objectifs de sécurité:• Spécifier les besoins en termes d’attributs de la SdF

• Surtout sur le niveau business• Le lien business système est fait en amont

Exemple

La base de données clients a donc un fort besoin de confidentialité, lié à la sensibilité des informations qu’elle contient.

Processus de gestion du risque

Étape 3: l’analyse de risques• Identification et estimation de chaque composante du risque (menace, vulnérabilité, impact)

• Evaluer le risque, apprécier son niveau

• Prendre des mesures (apprécier le risque)

Graphiquement …

Le risque est la vraisemblance (plus ou moins grande) de voir un événement, ciblant un bien et exploitant une ou plusieurs vulnérabilités, se réaliser en entraînant des impacts sur un ou plusieurs biens et des conséquences pour le système considéré

Analyse du risque

Deux grandes écoles:

• A partir des bases de connaissances prédéfinies

• Réaliser un audit du système

Analyse du risque

Estimation du risque:• Quantifier le risque par une distribution de probabilités sur les menaces et les vulnérabilités

• Estimer les coûts occasionnés par les impact

• En pratique: une échelle de valeurs estimées

Les Zones de Risque

Les différentes zones de risque

On considère:• Occurrence faible = négligeable• Occurrence forte et impact important: éradication/remise en cause entreprise

• Occurrence forte et impact faible = acceptation (coût opérationnel)

• Occurrence faible et impact lourd (transféré à un tiers: assurance, etc)

• Les autres risques sont traités au cas par cas (le but est de diminuer l’occurrence)

Exemple

• L’analyse de risque montre un certain nombre de scénarios ayant un niveau de risque inquiétant pour la base de données clients. Un des risques est l’accès aux données par un utilisateur non-autorisé à travers le réseau. Cela aurait pour conséquence de nuire à la confidentialité des données. Il faut traiter ce risque par un contrôle de sécurité.

De l‘analyse des risque aux contre-mesures

Processus de gestion du risque

Étape 4: Définition des exigences de sécurité• Le but est de réduire les risques identifiés

• Soit par l’assistant référentiel• Soit par un expert en sécurité• On procède de façon itérative, à partir d’exigences générales

• A la fois sur le système et sur son environnement

Exemple

Le serveur doit être protégé dans sa globalité, des intrusions éventuelles. De même, on décide de mettre en place un contrôle d’accès adéquat sur la base de données. Une authentification à distance plus forte que l’authentification actuelle est nécessaire. Le coût doit rester à un niveau acceptable.

Processus de gestion du risque

Étape 5: La sélection de contrôle• On les appelle aussi « contre mesures »

• Ce sont les instances des exigences de sécurité

• Au bas niveau–Solution techniques–Coûts de la mise en œuvre–….

Exemple

On sélectionne l’ajout d’un IDS au firewall déjà en place. De plus, on décide de mettre en place une politique de password plus exigeante constitutée d’un login/password ainsi que d’un code de contrôle distribué à l’utilisateur lors de son inscription. Une authentification par carte à puce est trop contraignante.

Processus de gestion du risque

Étape 6: L’implémentation des contrôles• Implémentation des contrôles• Tests et évaluations• Les risques non traités sont dit « résiduels »

Exemple

Le service informatique de la société mettra en place l’IDS et le prestataire chargé de la maintenance du site web développera un nouveau portail supportant l’authentification désirée.

Exercice

• Appliquer le processus de gestion des risques à la base de données d’une pizzeria qui comprend les addresses et commandes de ses clients.

1. Identifier les assets2. Determiner les objectifs de sécurité3. Analyser les risques

4. Définir les exigences de sécurité5. Sélectionner les contre-mesures6. Implémenter les contre-mesures

L’importance des normes

Les normes

• Objectif: adhérer aux mêmes procédures et spécifications de produits

• Facilite le commerce, simplifie les procédures, empêche les tromperies

• Les normes sont définies par certains organisme comme l’ISO.

Normes

« des accords documentés contenant des spécifications critiques ou des critères précis à utiliser de façon cohérente comme règles, directives, ou définitions, afin de s’assurer que les matériaux, produits, processus et services sont adaptés à leur objet »

Normes

• Peuvent se diviser suivant des critères: –Normes de processus: critères concernant la

façon dont les produits sont fait–Normes de produits: critères sur les

caractéristiques du produit.• Exemple: Clé USB:

– Norme de produit: taille, sécurité-innocuité européenne

–Norme de processus: critères de fabrication (continent), critères environnementaux, …

Normes/loi

• Les normes peuvent être référencées par la loi (en France) ou dans des directives européennes

• Le but est alors un renforcement institutionnel

• Exemples:● NF D27-404: norme sur les boîtes aux lettres → obligatoire.

Certification

• Procédure par laquelle un organisme agréé donne l’assurance écrite qu’un produit, processus ou service est en conformité avec certaines normes.

• Le but est de montrer que le fournisseur obéit à certaines normes.

Certification

• Toujours effectuée par une tierce parti• L’organisme de certification doit être accrédité

• L’organisme de certification peut déléguer

• L’organisme certifié obtient un label• Exemple: label France cybersecurity:

–Produits sécurisés–Proposés par une entreprise française (important)

Construction d’une norme

• Qui impulse la construction? –Autorité de tutelle, organisation, groupe de constructeurs

–http://www.annales.org/ri/2002/470/serres35-40.pf• L’industrie des normes automobiles est

marquée par la collaboration d’acteurs aux objectifs et contraintes différentes.

• La cohésion naît du partage d’objectifs communs, de la régularité des rencontres, etc

Présentation

• Qui définit le contenu?–Pas l’administration seule! Trop de technologie: il faut l’aide du fabricant

• Qui évalue la conformité d’un produit?–En sécurité, ce sont les CESTI (centres d’évaluation de la sécurité des technologies de l’information)

–Agréés par un organisme de certification–Equipe d’experts impartiaux et indépendants

Historique en SSI

• Méthodes d’analyse de risque existent depuis longtemps

• Encadrement par des normes récent• Il y a trois normes ISO importantes: 31000, 27001 et 27005

• Les normes sont complétés par des guides ISO qui aident à leur application.

La norme ISO 31000

• Dédiée à la définition des concepts généraux d’une analyse de risque– Définition de vocabulaire de risque– Définition de gestion (étude, appréciation, …)

• Différents principes de pilotage– Politique, rôles et responsabilités, communication

et documentation, contrôle et révision

• Définition de trois buts principaux:1.Identification des risques2.Priorisation des risques3.Traitement des risques

Roue de Deming

Roue de Deming

• Plan: définir le cadre, apprécier et spécifier le traitement des risques

• Do: implémenter et maintenir les mesures

• Check: vérifier que les mesures fonctionnent et identifier les améliorations possibles

• Act: Mettre en œuvre les améliorations

Plan: 7 étapes clé

1.Identifier les actifs (assets ou bien à protéger)2.Identifier les personnes responsables pour chaque bien

(pas toujours le propriétaire)3.Identifier les vulnérabilités (exposition aux menaces)4.Identifier les menaces (exploitation vulnérabilité)5.Identifier les impacts (conséquence de la perte du

bien)6.Evaluer la vraisemblance: le bien dans son contexte

• le vol d’un portable est plus fréquent que celui d’un mainframe

7.Estimer les niveaux de risque (à partir de la vraisemblance de l’impact)

Les normes clé

• ISO 31000:– Définis le vocabulaire et un cadre de risque

utilisable dans tous les domaines• ISO 27001:

– Définis les exigences pour mettre en œuvre un SMSI, notamment en matière de gestion des risques

• ISO 27005:– Transpose le cadre générique de 31000 à la

sécurité de l’information• Méthodes d’analyse de risque:

– Mettre en œuvre 27005 tout en respectant 27001.

Bon à savoir

• Même l’Europe y pense:• IMdR: institut pour la maîtrise des risques

• www.imdr.eu